주차장 요금 기계에 QR코드가 생겼고, 식당 메뉴도 「QR코드 스캔」으로 바뀌었습니다. 아무 생각 없이 스캔했나요? 2025년 QR코드 사기(퀴싱, Quishing) 공격이 587% 급증했고, FBI는 2026년 1월 북한 해커 그룹 Kimsuky가 악성 QR코드를 이용한 스피어 피싱을 대규모로 전개하고 있다고 경고했습니다. 스캔 전 1초가 가장 중요한 방어선입니다.
1. 퀴싱이란?
퀴싱(Quishing)은 QR Code Phishing의 약자로, 공격자가 악성 URL을 QR코드로 인코딩해 피해자를 스캔하도록 유도한 후 가짜 사이트로 유입시켜 계정 정보, 신용카드 정보를 탈취하거나 악성 앱을 설치하는 공격입니다.
1.1 QR코드가 특히 위험한 이유
- 링크가 보이지 않음:스캔 전에 QR코드에 담긴 URL을 확인할 수 없음
- 보안 스캔 우회:대부분의 기업 이메일 게이트웨이는 이미지 내 QR코드를 분석하지 못함
- 모바일 기기의 약점:스마트폰의 작은 화면에서 URL 미리보기를 놓치기 쉬움
- 신뢰도 높음:물리적 환경(포스터, 식탁)의 QR코드는 의심을 덜 받음
2. 실제 공격 사례(2025–2026년)
2.1 북한 해커 그룹 Kimsuky의 스피어 피싱
2026년 1월 FBI와 AHA의 공동 경고:북한 국가 지원 해커 그룹 Kimsuky가 정부기관, 의료기관, 학술 연구자를 표적으로 QR코드 스피어 피싱을 전개하고 있습니다. 이메일에 QR코드를 삽입해 Microsoft 365 로그인이나 다중 인증 요청으로 위장하며, 스캔 시 계정 정보가 탈취됩니다.
2.2 가짜 주차 요금 QR코드
미국 여러 도시에서 공격자가 실제 주차 요금 기계에 악성 QR코드 스티커를 부착해 가짜 결제 사이트로 유도, 신용카드 정보를 수집하는 사례가 기록되었습니다.
2.3 식당 메뉴 QR코드
공격자가 식당 테이블의 정식 메뉴 QR코드를 교체하거나 관광지에서 가짜 「무료 Wi-Fi」QR코드를 배포해 피싱 로그인 페이지로 유도하는 사례가 보고되었습니다.
3. 악성 QR코드 식별 방법:5가지 확인 단계
1단계:물리적 상태 확인
악성 스티커는 원래 QR코드 위에 붙여진 경우가 많습니다. 가장자리가 들뜨지 않았는지, 접착제 흔적이 없는지, 주변과 종이 재질이 다르지 않은지 확인하세요.
2단계:스캔 후 URL 미리보기 확인
대부분의 스마트폰은 스캔 후 URL을 표시합니다. 바로 「열기」를 누르지 말고 도메인이 예상 서비스와 일치하는지, 오타가 없는지(예:micros0ft.com) 확인하세요.
3단계:단축 URL 주의
QR코드에는 단축 URL이 자주 사용됩니다. URL 도구에 복사해 원래 URL을 확인하세요.
4단계:출처 합법성 확인
이메일의 QR코드는 발신자 주소를 확인하고 공식 채널로 직접 확인하세요. 물리적 환경에서는 현장 직원에게 확인을, 갑작스러운 「쿠폰」이나 「당첨 알림」 QR코드는 무시하세요.
5단계:접속 후 페이지 동작 관찰
비밀번호, 신용카드, 주민등록번호 입력을 요구하거나 미지의 앱 다운로드를 유도하는 페이지는 즉시 닫고 캐시를 지우세요.
4. 안전한 QR코드 만들기
행사나 명함용 QR코드를 만들 때는 반드시 합법적인 HTTPS URL을 지정하세요. QR코드 생성기는 브라우저에서 로컬 처리하므로 대상 URL이 외부 서버에 전송되지 않습니다. URL을 단축해야 할 경우 단축 URL 도구로 배포한 링크를 관리해 나중에 추적·검증할 수 있도록 하세요.
5. 정리
세 가지 핵심 원칙을 기억하세요:스캔 전 외관 확인(스티커 부착 여부), 이동 전 URL 확인(예상 서비스와 일치 여부), 입력 전 한 번 더 생각(이 페이지가 정말 내 개인정보를 필요로 하는가). QR코드 생성기로 신뢰할 수 있는 QR코드를 만들어 사용자가 안심하고 스캔할 수 있게 하세요.